Risco inerente vs risco residual.

O risco inerente é a exposição antes dos controlos. O risco residual é o que permanece após a aplicação dos controlos. Os auditores analisam o desfasamento: deve ser justificado, aceite (ou tratado adicionalmente) por um responsável identificado, e coerente com o apetite ao risco. Um registo que apresente "residual = zero" em qualquer ponto é um sinal de alerta, não uma vitória.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyRisk managementAll entries

A perspetiva da Cyber Academy

O risco inerente é a exposição antes dos controlos. O risco residual é o que permanece após a aplicação dos controlos. Os auditores analisam o desfasamento: deve ser justificado, aceite (ou tratado adicionalmente) por um responsável identificado, e coerente com o apetite ao risco. Um registo que apresente "residual = zero" em qualquer ponto é um sinal de alerta, não uma vitória.

O mesmo risco visto em dois momentos

O risco inerente e o risco residual não são dois riscos diferentes. São o mesmo cenário medido em dois pontos: antes de os seus controlos atuarem e depois de o terem feito. O risco inerente é a exposição em bruto, o nível de probabilidade e impacto que enfrentaria se os controlos pertinentes estivessem ausentes ou falhassem por completo. O risco residual é o que resta uma vez que os controlos estão implementados e a operar conforme previsto. Lê-los lado a lado é todo o sentido do exercício, porque a diferença entre os dois é o valor visível do seu ambiente de controlo. Uma diferença grande indica que os controlos estão a cumprir o seu papel; uma diferença estreita indica que está a despender esforço para uma redução escassa e deveria perguntar porquê.

Tratar estes níveis como um par muda a forma como gasta. Se dois cenários partilham um nível residual semelhante mas um partia de um nível inerente bem mais elevado, o conjunto de controlos que o mantém baixo está a realizar um trabalho considerável e merece proteção no orçamento. O cenário que mal se moveu do inerente para o residual é o que há que reexaminar: ou o controlo é fraco, ou é o controlo errado, ou o risco nunca esteve tão exposto como a avaliação afirmava.

Risco inerente face ao risco residual
DimensãoRisco inerenteRisco residual
Quando é medidoAntes dos controlosDepois de os controlos operarem
O que mostraExposição em bruto do cenárioExposição que efetivamente permanece
Utilização principalPriorizar onde são necessários controlosDecidir aceitar, tratar mais ou transferir
Comparado comOutros cenários não tratadosO apetite e a tolerância ao risco
Ação do responsávelConceber o tratamentoAceitar e assinar, ou escalar a diferença

O que esperam os auditores e as normas

A diferença entre o inerente e o residual é onde reside a garantia, pelo que tem de ser justificada em vez de afirmada. Um auditor lê o registo e exige três coisas a cada valor residual: que controlos o reduziram, se esses controlos operam genuinamente em vez de apenas estarem documentados, e quem aceitou o que resta. Este último ponto importa. O risco residual é aceite por um responsável nomeado com autoridade para o assumir, e essa aceitação tem de inscrever-se no apetite ao risco da organização. Um nível residual que ultrapassa o apetite não é uma entrada concluída; é um ponto em aberto que exige tratamento adicional, transferência, ou uma exceção deliberada e documentada.

Esta lógica está integrada nos principais referenciais. A ISO 31000 enquadra a gestão do risco como um ciclo iterativo no qual o tratamento altera o risco e o risco alterado é depois reavaliado, que é exatamente a passagem do inerente para o residual. A ISO/IEC 27005 aplica o mesmo raciocínio ao risco de segurança da informação e é explícita ao exigir que o risco residual seja avaliado e formalmente aceite pela direção antes de um sistema entrar em funcionamento ou permanecer em produção. As orientações do NIST sobre a avaliação de riscos mantêm a distinção idêntica entre o risco que uma organização enfrenta e a porção que permanece após a aplicação das respostas. Nenhuma destas normas trata o residual como um número que se calcula uma vez e se arquiva.

Fazê-lo bem na prática

Num registo operacional, cada linha deveria permitir a um leitor rastrear a avaliação inerente, os controlos aplicados, a avaliação residual, e o responsável nomeado que a aceitou. Mantenha o método de avaliação coerente entre o inerente e o residual para que os dois sejam genuinamente comparáveis; se pontuar o impacto e a probabilidade de forma diferente em cada etapa, a diferença não significa nada. Reavalie o residual sempre que um controlo mude, se degrade, ou se revele ineficaz durante os testes, porque o risco residual está tão atualizado quanto os controlos que o sustentam. Um valor residual fixado há duas auditorias e nunca reexaminado é decoração, não garantia.

O juízo que vale a pena consiste em ligar o risco residual ao apetite e ao tratamento. Uma vez que o residual se situa ao nível do apetite ou abaixo, a aceitação é razoável e o responsável assina. Quando se situa acima, a entrada honesta regista a diferença e o plano para a fechar, em vez de arredondar o número para baixo para deixar a página com bom aspeto. Essa disciplina é o que transforma um registo, de artefacto de conformidade, numa ferramenta que o conselho pode realmente usar para alocar atenção.

Frequently asked questions

01Qual é a diferença entre risco inerente e risco residual?

O risco inerente é a exposição antes de quaisquer controlos serem considerados, o nível em bruto de probabilidade e impacto. O risco residual é o que resta depois de os controlos estarem implementados e a operar. Descrevem o mesmo cenário medido em dois pontos, e a diferença entre eles mostra o valor dos controlos.

02O risco residual deve alguma vez ser zero?

Não. Nenhum conjunto de controlos é perfeito e os controlos podem falhar, pelo que quase sempre permanece algum risco residual. Uma avaliação residual de zero num registo é tratada pelos auditores como um sinal de alerta, significando geralmente que o objetivo foi confundido com a realidade ou que a falha dos controlos foi ignorada.

03Quem é responsável por aceitar o risco residual?

Um responsável pelo risco nomeado com autoridade para assumir a exposição. A sua aceitação tem de estar documentada e tem de inscrever-se no apetite ao risco da organização. Se o nível residual ultrapassar o apetite, não pode ser simplesmente aceite e tem de ser tratado adicionalmente ou escalado.

04Como se relaciona o risco residual com o apetite ao risco?

O risco residual é comparado diretamente com o apetite ao risco. Quando se situa ao nível do apetite ou abaixo, a aceitação é razoável e o responsável dá o seu aval. Quando se situa acima, a entrada permanece em aberto com um plano de tratamento para fechar a diferença, em vez de ser registada como aceite.

05Quando deve o risco residual ser reavaliado?

Sempre que um controlo mude, se degrade, ou se revele ineficaz durante os testes, e no ciclo de revisão normal. O risco residual é apenas tão exato quanto os controlos que o sustentam, pelo que um valor fixado numa auditoria passada e nunca reexaminado dá uma garantia falsa.

Precisa de mais do que uma definição?

Marque uma chamada de descoberta gratuita de 20 minutos. Identificamos o grupo que transforma este termo numa prática pronta para auditoria.